Перейти к содержимому
К
Версия сайта
VPS

Арендовали VPS: первые настройки безопасности

Аренда VPS ощущается как переезд из коммуналки в собственную квартиру: свои ресурсы, свои правила, никто не мешает. Есть нюанс, о котором хостеры не пишут в приветственном письме: вместе с ключами от квартиры вы получаете и всю ответственность за замки.

Виртуальный хостинг защищает хостер. VPS по умолчанию не защищает никто.

Ваш сервер найдут за часы, а не за месяцы

Частое возражение владельцев бизнеса: «Да кому нужен мой сервер, у меня же маленький сайт». Ботам всё равно, маленький у вас сайт или большой — они не выбирают жертв, а методично сканируют все IP-адреса интернета подряд. Новый сервер попадает под перебор паролей в первые же часы после запуска.

Мы как-то подняли тестовый VPS для внутреннего проекта и оставили на нём стандартный вход по паролю. За первые сутки журнал зафиксировал больше двух тысяч попыток подбора. Сервер, повторимся, нигде не светился — ни домена, ни ссылок. Просто свежий IP-адрес.

Базовая гигиена сервера

Пошаговые команды здесь приводить не будем — это работа для специалиста. Но владельцу бизнеса полезно знать сам чек-лист, чтобы проверить своего подрядчика.

  • Вход по SSH-ключам вместо пароля. Ключ подобрать перебором практически невозможно, пароль из восьми символов — вопрос времени.
  • Регулярные обновления системы. Уязвимости в серверном софте находят каждый месяц, и заплатки работают только у тех, кто их ставит.
  • Файрвол, который закрывает всё лишнее: снаружи должны быть доступны только сайт и вход для администратора.
  • Fail2ban — сторож, который банит адреса после нескольких неудачных попыток входа и резко охлаждает пыл ботов.
  • Бэкапы наружу, то есть не на сам сервер. Копия, лежащая рядом с оригиналом, погибает вместе с ним.
  • Отключение сервисов, которыми вы не пользуетесь: каждая запущенная служба — ещё одна дверь, которую надо охранять.

Ничего экзотического в списке нет. Опытный администратор закрывает эти пункты за час-полтора. Проблема в том, что на большинстве арендованных VPS не сделано вообще ничего из перечисленного.

Цена беспечности

Взломанный сервер редко «ломается» демонстративно — чаще он продолжает работать и параллельно приносит пользу новым хозяевам. Рассылает спам, пока ваш IP не попадёт во все чёрные списки и письма клиентам не начнут улетать в никуда. Майнит криптовалюту, съедая процессор, за который платите вы. Участвует в атаках на чужие сайты — а претензии хостер предъявит вам, вплоть до блокировки сервера.

Один наш клиент пришёл именно с такой историей: магазин работал, но письма о заказах перестали доходить покупателям. Оказалось, VPS уже месяц рассылал спам, и домен сидел в чёрных списках. Чистка сервера и вывод из блэклистов заняли две недели — куда дороже, чем час настройки в самом начале.

Сисадмин или администрирование от студии

Вывод из всего этого практический. VPS — отличный инструмент, но он требует человека, который за него отвечает. Варианта два: либо у вас есть свой администратор, хотя бы приходящий, либо берите VPS с администрированием, где настройку, обновления и мониторинг закрывает подрядчик.

Мы в CasperLab настраиваем и сопровождаем серверы клиентов: базовая защита с первого дня, обновления, бэкапы наружу и мониторинг. Если выбираете VPS под свой проект — поможем подобрать конфигурацию и возьмём администрирование на себя.

Подобрать VPS в CasperLab

Поможем подобрать решение под вашу задачу и рассчитаем стоимость без обязательств.

Подобрать VPS
Поделиться:
Мой сайт маленький — его правда будут атаковать?
Будут, но не люди, а боты, которые сканируют все IP-адреса подряд без разбора. Им не нужен именно ваш сайт — им нужен любой незащищённый сервер под спам, майнинг или атаки на другие ресурсы.
Хостер разве не отвечает за безопасность VPS?
Хостер отвечает за железо и сеть, а всё, что внутри сервера — система, настройки, сайт, — зона ответственности арендатора. Исключение — тарифы с администрированием, где сервер сопровождает команда хостера или студии.
Сколько времени занимает базовая настройка защиты?
У опытного администратора — час-полтора: ключи, файрвол, fail2ban, автообновления и бэкапы. Это разовая работа, дальше остаётся поддерживать сервер обновлённым и поглядывать в мониторинг.